A un anno di distanza dall’entrata in vigore del Gdpr – il Regolamento generale sulla protezione dei dati adottato con il regolamento Ue 2016/679 – la Commissione ha fatto il punto della situazione in occasione della conferenza dal titolo “One year of GDPR application: taking stock in the EU and beyond”. Il provvedimento ha previsto l’aggiornamento e il rafforzamento della precedente normativa europea in materia di protezione dei diritti e delle libertà fondamentali delle persone in materia di trattamento dei dati personali, in un’ottica di libera circolazione, accesso e trasparenza. In questo logica sono stati introdotti nuovi diritti per i cittadini e nuovi obblighi per i titolari del trattamento dei dati personali. Per i primi, in particolare il diritto di accesso, modifica e limitazione dei propri dati oggetto di trattamento, il diritto all’oblio – e cioè alla cancellazione dei propri dati da parte dei titolari – e il diritto alla portabilità dei dati. “Il Gdpr è un bambino che cresce in fretta e si comporta bene”, ha commentato la commissaria europea alla Giustizia, ai Consumatori e alla Parità di genere Věra Jourová. Tuttavia, il regolamento è stato sin dagli inizi al centro del dibattito europeo e internazionale e ad oggi la valutazione della Commissione si scontra con non poche voci di dissenso, provenienti soprattutto dal settore privato e imprenditoriale.
OBIETTIVO ARMONIZZAZIONE (MA CON POLEMICA)
Il primo obiettivo del Gdpr rispondeva alla necessità di armonizzare la normativa sulla protezione dei dati personali in tutta l’Unione e di integrare la precedente cornice giuridica in materia di tutela della privacy, fornita dalla direttiva numero 95/46/CE. Finalità, però, difficilissima da perseguire e per questo non poco criticata. In effetti, evitare la frammentazione giuridica e realizzare il cosiddetto “one continent, one law” si sta scontrando con una realtà tutt’altro che omogenea. Se da un lato la maggioranza degli Stati membri ha provveduto ad avviare la procedura di adattamento, restano tuttavia rilevanti punti di criticità. La possibilità, prevista peraltro dallo stesso regolamento e rimessa agli stessi Paesi di poter regolare alcuni aspetti del trattamento dei dati generici, potrebbe alimentare il fenomeno del gold plating, quella tendenza cioè a far sì che i regolatori nazionali possano dare un’interpretazione estensiva della normativa europea, con la conseguenza di alterarne gli intenti originali. Uniformità di applicazione, dunque, da garantire sia a livello centrale che regionale e locale. Con la revisione prevista per il 2020, la Commissione ha proprio il compito di valutare i passi intrapresi all’interno di ogni singolo Stato membro, così da intervenire, se necessario, a riequilibrare eventuali sbilanciamenti.
LA CERTEZZA DEL DIRITTO
Rispetto a questo secondo obiettivo, il regolamento mirava alla creazione di una cultura europea in materia di privacy, soprattutto rispetto all’applicazione e all’effettività delle norme in materia. In tal senso, il Gdpr prevede il rafforzamento dei poteri delle autorità garanti nazionali al fine di assicurare l’effettività delle norme e delle sanzioni in caso di violazioni. Ma non solo: il garante ha anche la funzione di facilitare l’adeguamento nazionale al Gdpr. In Italia ad esempio, il regolamento è stato recepito con il decreto legislativo numero 101 del 2018, anche noto come Decreto Privacy, e il Garante italiano, così come altri in Europa, ha redatto sue Linee guida per rendere più semplice l’adeguamento nella pratica.
PRIVACY FRIENDLY INNOVATION
Il diritto alla privacy, così come gli aspetti di cui esso si compone, rientra probabilmente tra i diritti più messi a rischio dall’avvento delle nuove tecnologie e dell’era digitale. Ma come ogni diritto anche questo ha un costo, e per alcune realtà si sta dimostrando elevato. L’adeguamento al Gdpr è un processo estremamente costoso e complesso soprattutto per le realtà di ridotte dimensioni. Se l’impatto mediatico si è registrato soprattutto rispetto alle cosiddette “data hungry platforms” – si pensi ai nuovi limiti imposti alle piattaforme social come Facebook o alle sanzioni a Google – a pagare maggiormente gli effetti del regolamento sono state soprattutto le piccole e medie imprese e le start-up. A tal proposito la Commissione ha previsto una serie di strumenti bottom-up per aiutare le realtà imprenditoriali e industriali nell’adattamento al regolamento e, soprattutto, per ridurne i costi.
PIU’ DIRITTI PER CITTADINI PIU’ CONSAPEVOLI
Ogni singolo individuo che abbia accesso a Internet ha cliccato almeno una volta sul comando “acconsento”. Ma a cosa si sta acconsentendo? I timori legati all’incertezza del trattamento dei propri dati, o comportamenti, online sono alla base dell’iniziativa della Commissione su una nuova e più comprensiva regolamentazione del diritto alla privacy. Secondo i sondaggi dell’ultimo Eurobarometro presentati dalla Commissione alla Conferenza One year of GDPR application, il 73% dei cittadini europei è a conoscenza di almeno uno dei diritti garantiti dal Gdpr. Tuttavia, solo il 60% degli utenti che naviga in internet e presta il consenso “scorre” la normativa sulla privacy, e di questi solo il 13% la legge interamente. Tra gli obiettivi da realizzare a livello europeo rientra quindi sicuramente quello di aumentare la consapevolezza dei cittadini sulle possibilità e le garanzie previste dal regolamento. Non è dunque un quadro del tutto lineare quello che si prefigura per il futuro. Le valutazioni dei risultati raggiunti rispetto agli obiettivi del regolamento saranno contenute nella comunicazione ufficiale dal titolo “GDPR, State of play after one year”, dedicata alla valutazione quali-quantitativa dei risultati ottenuti in questo primo anno, che dovrebbe essere pubblicata dalla Commissione entro l’estate.